Dotaz k moznostem dhcp&dns

Kdy je/neni vhodne pouzit “rebind-protection” a “local-srvice-only” moznosti (LUCI/network/dhcp and dns)?

Je nejaky duvod tyto moznosti zapinat? Pouzivam lokalni domenu, mam dynamic-domains=1/static-domains=0. Forwarding nepouzivam, dnssec mam aktivni.

nslookup a dig mi prekladaji xxxx.mydomain.lan korektne (kdyz uvedu plne jmeno, pres alias to neprochazi), ping mi funguje pres alias a i plne jmeno (krom dotazu na ip/name samotneho routeru z prikazove radky). A jelikoz nejsem uplne familierni s kresd/dnsmasq/unbound tak dokud to facha moc na to nesaham, ale cas od casu mam tendence si nastaveni TOS upravovat (abych nevysel ze cviku).

Obecně luci možnosti nemají na kresd ani unbound vliv, myslím že vůbec žádná z nich.

• Na anti-rebinding existuje modul, ale defaultně není použit https://knot-resolver.readthedocs.io/en/stable/modules-rebinding.html (i když v ODVR například ano)
• Komu se odpovídá v Turrisu řeší firewall. Resolvery jsou defaultně nakonfigurované na všechny interfacy, ale firewall defaultně DNS z WAN nepropustí.